当前位置:主页>资 讯>安全动态>

“艳照”事件再现群共享 网友需注意防范

近来,AVG中国区病毒实验室不断的接受到一个名为“厢册.exe”的病毒样本,经分析发现,该病毒的在群的共享中以“娱乐新闻(柏x再次曝光)”的压缩包形式出现。但是并没有采用自解压的格式,因此双击压缩包不会导致病毒的运行,如下图所示:

  笔者甚至在本人的某些QQ群中都能找到其踪迹,可见现在此病毒已经具有一定的覆盖面。“柏X再次曝光”,相信这个名字对很多用户还是具有一定的吸引力,这也是此病毒能够广泛传播的一个原因。压缩包中实际包含两个文件,但是如果直接解压,并且用户没有在文件夹选项中选择显示系统隐藏文件的选项时,是无法察觉到文件“lpk.dll”的存在,因为此文件具有系统隐藏的属性。

  如果用户在好奇心的驱使下,双击了“厢册.exe”,在某些低版本的windows系统中,系统未检查lpk.dll的合法性,并且会优先加载当前目录下的lpk.dll,而不是系统的DLL。恶意的lpk.dll会向系统所有磁盘的所有目录下复制lpk.dll.并且利用rar提供的命令行向压缩包中打包病毒文件,直接导致某些压缩包中携带恶意的病毒文件。传播途径比较隐蔽。随后病毒会将正常路径下的lpk.dll加载起来。如下图所示lpk.dll释放两个文件:

  c:\windows\temp\hrl1.tmp

  c:\windows\system32\scgeyq.exe

  这两个进程主要负责和远端的服务器进行通信。同时我们要看见hrl1.tmp的进程下加载了两个lpk.dll其中之一就是恶意的病毒文件。

  这样,实现了一种特殊的自启动,任何目录下的exe执行时都会导致病毒模块lpk.dll的加载。同时病毒会利用自身的资源文件生成一个fxsst.dl的文件,然后利用重命名的方式将fxsst.dl改名为fxsst.dll.

  随后病毒会执行“shutdown -r -t 1”的命令强制重启用户电脑。经分析发现释放的文件fxsst.dll会窃取您QQ账户的密码,并上传至远端的服务器。以下截图表明了病毒在拼接qq2012的字符串。

  通过对近期样本的监测,以及用户反馈,群共享中出现病毒的频率越来越高。某些病毒甚至有自动将自身上传至感染用户所有群共享的功能。AVG提醒您,切忌不要打开群共享中带有诱惑或者敏感信息的文件,潘多拉的盒子一旦被打开将会给您造成一些不可挽回的损失;同时请注意保持您安全防护软件的更新和系统的更新。当前最新版本的AVG已经可以检测此类病毒,AVG用户可以安心畅游网络。

(责任编辑:)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

由蜜罐引发的物联网安全小谈

由蜜罐引发的物联网安全小谈

最近几年,物联网正以迅雷不及掩耳之势四处圈地,凡联网之物都能被黑的恶名也如影随形...[详细]

女子傻眼:银行卡刚存30万,瞬间只剩400

女子傻眼:银行卡刚存30万,瞬间只剩400

个人信息被泄露,在这个年代,好像已经屡见不鲜。但昨天,记者从海曙检察院听闻了一个...[详细]

黑客针对香港的网络攻击中利用了新型的IE浏

黑客针对香港的网络攻击中利用了新型的IE浏览器0day

微软公司在昨日修复了漏洞(CNNVD-201508-429),但攻击者已经在进行水坑攻击的过程中利...[详细]

骗子植入手机木马的10大招术:看完你将会“

骗子植入手机木马的10大招术:看完你将会“百毒不侵”

一、冒充移动客服10086 此类案件中,犯罪分子通过技术手段伪装成移动客服10086向不特...[详细]

滴滴打车有漏洞 淘宝买个软件免费打车

滴滴打车有漏洞 淘宝买个软件免费打车

近日,重庆晚报记者接到读者反映,不法商人用黑客软件刷券在淘宝网销售,声称只要几元...[详细]

返回首页 返回顶部